Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w drugiej połowie 2011 roku

Tagi:

Maria Garnajewa, ekspert z Kaspersky Lab
Jurij Namiestnikow, ekspert z Kaspersky Lab

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy pomocy systemu monitorującego botnety oraz Kaspersky DDoS Prevention firmy Kaspersky Lab.

Druga połowa 2011 r. w liczbach

  • W drugiej połowie 2011 roku maksymalna moc ataku odpartego przez system Kaspersky DDoS Prevention zwiększyła się o 20% w porównaniu z pierwszą połową analizowanego roku i wynosiła 600 Mbit/s, lub 1 100 000 pakietów/sek (atak typu UDP flood o krótkich pakietach o rozmiarze 64 bajty).
  • Średnio ataki blokowane przez Kaspersky DDoS Prevention w drugiej połowie 2011 roku miały siłę 110 Mbit/s – co stanowi wzrost o 57%.
  • Najdłuższy atak DDoS w analizowanym okresie trwał 80 dni 19 godzin 13 minut i 5 sekund, a jego celem był serwis biura podróży.
  • Średnia długość trwania ataku DDoS wynosiła 9 godzin i 29 minut.
  • Największa liczba ataków DDoS w drugiej połowie 2011 roku – 384 – została odnotowana przez portal cyberprzestępczy.
  • Ataki DDoS zostały przeprowadzone z komputerów zlokalizowanych w 201 państwach na całym świecie.

Wydarzenia z drugiej połowy 2011 r.

Finanse: Ataki DDoS na giełdy

Robienie interesów na rynku akcji i papierów wartościowych to spore wyzwanie: uczestnicy muszą potrafić analizować aktualną sytuację, przewidywać, w jakiej kondycji znajdzie się cały rynek oraz firmy, których udziałami są zainteresowani, oraz szybko reagować na wiadomości z ostatniej chwili. To wszystko wymaga szybkiego dostępu do najnowszych informacji. Jeżeli jednak ktoś potrafi „przeskoczyć kolejkę” i postarać się, aby zawsze mieć informacje jako pierwszy, może zagwarantować sobie spory zysk. Jednym ze sposobów wyprzedzenia konkurencji jest zorganizowanie ataków DDoS, tak jak miało to miejsce pod koniec lata 2011 roku.

10 sierpnia przeprowadzono atak DDoS na portal giełdy papierów wartościowych w Hong Kongu. Co ciekawe, osoby atakujące nie obrały za cel głównej strony giełdy, ale tę, na której publikowane są ważne ogłoszenia największych graczy na rynku. W efekcie, trzeba było zawiesić handel akcjami siedmiu firm, łącznie z HSBC, Cathay Pacific, China Power International. Strona pozostała offline przez kolejny dzień, przez co zawieszono również handel pozycjami zależnymi. Oszacowanie poniesionych z tego tytułu strat i osiągniętych zysków jest praktycznie niemożliwe; nie ma jednak wątpliwości, że ktoś próbował zarobić pieniądze na tym zakłóceniu.

Naturalnie, atak został zrealizowany przy użyciu botnetu, a zatem znalezienie winnego w takich okolicznościach nie jest łatwe. Mimo to organy ścigania w Hong Kongu wszczęły zakrojone na szeroką skalę dochodzenie. Na decyzji tej zaważył potencjalny wpływ ataku na reputację HKEX, która jest piątą pod względem wielkości giełdą na świecie, oraz fakt, że przez giełdę akcji i papierów wartościowych przepływa mnóstwo pieniędzy. W przeciągu dwóch tygodni poinformowano o aresztowaniu mężczyzny pod zarzutem zorganizowania ataku. Aresztowany 29-latek okazał się biznesmenem grającym na giełdzie. Grozi mu do pięciu lat więzienia za przeprowadzenie ataku DDoS – sporo czasu na zastanowienie się nad innymi, bardziej legalnymi strategiami biznesowymi.

Ataki DDoS i protesty polityczne

Grupa Anonymous znów trafiła do czołówek gazet. Po incydencie, w którym policja użyła gazu łzawiącego oraz gumowych kul przeciwko protestującym w ramach poparcia ruchu Occupy Wall Street, zorganizowano nową kampanię o nazwie Occupy Oakland. Na skutek ataku DDoS przeprowadzonego w ramach tej kampanii przestała działać strona policji w Oakland, a w internecie zostały opublikowane poufne dane policyjne.

Następnie Anonimowi zaatakowali strony rządowe w Salwadorze. Była to reakcja tego ugrupowania na zarzuty wobec władz tego kraju o łamanie licznych praw człowieka.

Po tym, jak służby izraelskie przechwyciły zbliżający się do wybrzeży Gazy okręt z pomocą humanitarną, członkowie grupy Anonymous opublikowali w serwisie YouTube klip wideo, w którym ostrzegli przed przygotowywanymi przez siebie atakami protestacyjnymi. Dwa dni później strony izraelskich Sił Obronnych oraz służb wywiadowczych Mossad oraz Shen Bet były niedostępne w Sieci. Jednak rząd izraelski nie potwierdził, że padł ofiarą ataku Anonymous, oświadczając, że powodem niedostępności stron były problemy z serwerami.

Chociaż działania Anonymous odbiły się szerokim echem, grupa ta nie przyjmuje odpowiedzialności za wszystkie głośne ataki polityczne. We wrześniu nieznani cyberprzestępcy przeprowadzili atak DDoS na rosyjską ambasadę w Londynie. Incydent ten miał miejsce dzień przed wizytą brytyjskiego premiera w Moskwie, która najwidoczniej wywołała niezadowolenie atakujących.

Ataki DDoS a małe przedsiębiorstwa

W drugiej połowie 2011 r. miały miejsce dwie wielkie fale ataków DDoS na strony biur podróży. Pierwsza z nich nastąpiła w okresie letnich wakacji, gdy wielu użytkowników aktywnie poszukuje ofert wypoczynku nad morzem. (Również w tym czasie cyberprzestępcy zlecili ataki DDoS na strony oferujące sprzedaż lub wynajem apartamentów w ośrodkach wypoczynkowych zlokalizowanych przy plaży).

Druga fala ataków przypadła na okres Świąt Bożego Narodzenia oraz Nowego Roku. Tym razem większość zaatakowanych stron oferowała świąteczny wypoczynek.

Wśród ofiar nie znalazł się żaden duży touroperator. Celem wszystkich tych ataków DDoS były agencje turystyczne. Warto zauważyć, że na rynku działa znacznie więcej agencji niż operatorów, a zatem konkurencja między tymi pierwszymi jest znacznie bardziej zacięta.

Liczba ataków na strony agencji turystycznych była pięciokrotnie wyższa w sezonie niż poza nim. Można powiedzieć, że strony zaatakowane podczas letniej i zimowej fali padły ofiarą tzw. „uderzeń kontraktowych” stosowanych w ramach cyberwojny między agencjami turystycznymi. To oznacza, że konkurencja w branży turystycznej jest tak ostra, że niektórzy gracze zrobią wszystko, aby zdobyć klientów.

Warto wspomnieć, że w drugiej połowie roku nastąpił gwałtowny wzrost liczby ataków na strony oferujące rezerwację taksówek lub usługi napełniania kartridżów do drukarek. Usługi te były również reklamowane przy pomocy wysyłek masowych. Wygląda na to, że firmy zamawiające takie wysyłki masowe mają powiązania z właścicielami botów i to właśnie one prawdopodobnie zamawiają ataki DDoS skierowane przeciwko stronom swojej konferencji.

Zbrodnia i kara

W październiku miał miejsce ciąg dalszy historii ataków DDoS przeprowadzonych na serwis płatniczy ASSIST. Paweł Wrublewski, właściciel ChronoPay oraz główny podejrzany o przeprowadzenie tych ataków, przyznał się do ich zorganizowania. Czytelnicy być może pamiętają, że ataki te zakłóciły sprzedaż biletów online Aeroflot, największych rosyjskich linii lotniczych.

Wygląda na to, że właściciel ChronoPay chciał zdyskredytować konkurencyjne serwisy i poprzez ataki DDoS zrazić do ASSIST solidnych klientów, takich jak Aeroflot, a tym samym zwiększyć i tak już duży udział swojej firmy (40%) w rynku obsługi płatności. Atak rozpoczął się 16 lipca 2010 r.; zaledwie tydzień po zamknięciu Aeroflot zdołał przywrócić sprzedaż biletów online. Jednak działania podjęte przez ASSIST nie uchroniły tej firmy przed utratą ważnego klienta – Aeroflot ostatecznie zawarł umowę z Alfa Bank.

Pawłowi Wrublewskiemu postawiono zarzuty z artykułu 272 i 273 Rosyjskiego Kodeksu Kryminalnego i grozi mu do siedmiu lat pozbawienia wolności.

Orany ścigania zajęły się również niektórymi członkami grupy Anonymous. Haktywiści zostali aresztowani we Włoszech, w Turcji, Hiszpanii, Szwajcarii, Wielkiej Brytanii oraz Stanach Zjednoczonych. Wytropienie osób uczestniczących w atakach przy użyciu narzędzia LOIC (Low Orbit Ion Canon) o otwartym źródle okazało się proste. Narzędzie to zostało rozwinięte, bez szkodliwych intencji, w celu stworzenia obciążenia testowego na serwer sieciowy. Dlatego nie zawiera żadnych funkcji ukrywania adresów, z których pochodzą ataki, co oznacza, że można przeglądać logi oraz skontaktować się z właściwymi dostawcami usług internetowych. W innych przypadkach, wytropienie haktywistów może wcale nie być takie proste. Naiwnością byłoby jednak spodziewać się, że sprawcy mogą uniknąć kary za ataki DDoS i włamania, których celem padły strony rządowe. Warto wspomnieć, że średni wiek aresztowanych wynosi 20 lat.

Skuteczna walka z botnetami wymaga ścisłej współpracy między organami ścigania, producentami rozwiązań antywirusowych oraz twórcami oprogramowania.

Wewnętrzne konflikty między cyberprzestępcami

Ataki DDoS to nie tylko narzędzie nieuczciwej konkurencji nie tylko na tradycyjnym rynku fizycznych towarów i usług, ale również w ciemnym światku cyberprestępczości. Ponieważ wszystkie operacje cyberprzestępcze odbywają się w internecie, ataki DDoS stanowią bardzo skuteczne narzędzie wywierania presji na konkurencję.

W drugiej połowie roku najwięcej ataków (384) przeprowadzono na serwis służący do sprzedaży podrabianych dokumentów. Najczęściej do ataków DDoS uciekają się najczęściej carderzy i ich koledzy: boty atakują fora, na których omawiane są podobne tematy, jak również strony, na których sprzedawane są dane osobowe posiadaczy kart. Kolejną popularną grupą ofiar ataków DDoS stanowią strony oferujące tzw. hosting typu „bullet-proof” oraz usługi VPN dla cyberprzestępców. Świadczy to o zaciętej konkurencji między cyberprzestępcami oraz sugeruje, że mają oni wolny dostęp do botnetów DDoS.

Nowe techniki w atakach DoS/DDoS

Google+

Pod koniec sierpnia włoski badacz Simone «ROOT_ATI» Quatrini z AIR Sicurezza Informatica podał podał na blogu IHTeam Security dwa specjalne serwisy URL Google+, przy pomocy których cyberprzestępcy mogą wykorzystywać serwery Google’a do przeprowadzania ataków DDoS na dowolną stronę: : https://plus.google.com/_/sharebox/linkpreview/ oraz https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?

Pierwszy jest narzędziem służącym do podglądu stron internetowych, natomiast drugi to gadżet pozwalający wykorzystywać odsyłacze i przechowywać kopie pamięci cache plików na serwerach Google’a. Wykorzystując oba te narzędzia, można wysłać parametr w adresie URL zawierający odsyłacz do dowolnego pliku zlokalizowanego na atakowanej stronie. Serwery Google’a zażądają tego pliku, a następnie prześlą go użytkownikowi, tj. będą działały jak proxy. Automatyczne narzędzia (takie jak skrypt) mogą zostać wykorzystane do wysłania wielu takich żądań; jeżeli pomnożymy je przez przepustowość internetu szerokopasmowego Google’a z pewnością będzie można mówić o ataku DDoS HTTP na stronę ofiary.

Badacz zauważył, że metoda ta pozwala osobie atakującej zachować anonimowość. Jednak w przypadku wykorzystania drugiego adresu URL, adres IP osoby atakującej jest wysyłany do żądanej strony w polu żądania HTTP, dlatego atak z określonego adresu IP może zostać łatwo zablokowany przez atakowany serwer.

Po wysłaniu opisów tych „luk” zespołowi odpowiedzialnemu za bezpieczeństwo w firmie Google, zamknęła ona pierwszą stronę /_/sharebox/linkpreview/, jednak drugą, gadgets/proxy?, pozostawiła niezmienioną. Najwyraźniej, twórcy serwisu nie sądzili, że możliwość wykorzystania tej strony do przeprowadzenia ataku DDoS będzie stanowić poważny problem, ponieważ tego rodzaju atak można łatwo odeprzeć.

Publiczne usługi prawdopodobnie nigdy nie będą powszechnie wykorzystywane jako narzędzia do przeprowadzania ataków DDoS, ponieważ, jak tylko zostaną zidentyfikowane, tego rodzaju luki zostaną szybko usunięte przez dostawców usług.

THC-SSL-DOS

Ostatnio analitycy coraz bardziej zwracają uwagę na możliwości skutecznego przeprowadzenia ataku DDoS przy minimalnym wysiłku ze strony osoby atakującej, tj. bez wykorzystania dużych botnetów. Może to zwiastować odejście od konwencjonalnych ataków DDoS z wykorzystaniem dużego ruchu na rzecz ataków, które prowadzą do wykorzystywania dużych zasobów na atakowanym serwerze. Opisany poniżej rodzaj ataku doskonale wpisuje się w ten model.

W październiku niemiecki zespół analityków The Hacker's Choice wypuścił nowe oprogramowanie „proof-of-concept” do przeprowadzania ataków DoS na serwery sieciowe wykorzystując charakterystykę protokołu SSL. Przy użyciu nowego narzędzia o nazwie THC-SSL-DOS jeden zwyczajny komputer PC może pozwolić na całkowite zablokowanie przeciętnie skonfigurowanego serwera, jeżeli obsługuje on renegocjację SSL. Opcja ta pozwala serwerowi na stworzenie nowego tajnego klucza na bazie istniejącego połączenia SSL. Mimo, że jest rzadko wykorzystywana, opcja ta jest w większości serwerów włączona domyślnie. Ustanowienie bezpiecznego połączenia i przeprowadzenie renegocjacji SSL wymaga znacznie większych zasobów po stronie serwera niż po stronie klienta. Ta asymetria zostaje odpowiednio wykorzystana: jeżeli klient wysyła dużą liczbę żądań renegocjacji SSL, zostają obciążone zasoby serwera.

Należy zauważyć, że nie wszystkie serwery sieciowe są podatne na tego typu ataki: niektóre z nich, takie jak serwer IIS, nie obsługują renegocjacji SSL inicjowanej przez klienta. Ponadto, serwery sieciowe mogą wykorzystywać akcelerację SSL w celu ochrony serwera sieciowego przed nadmiernym obciążeniem.

Niektórzy producenci oprogramowania nie dostrzegają poważnego problemu w powyższej metodzie ataku. Jeżeli opcja renegocjacji SSL nie może zostać całkowicie wyłączona, zalecają ustawienie reguł ad-hoc w celu przerwania połączeń z klientami, którzy żądają renegocjacji SSL więcej razy niż wynosi limit w określonym przedziale czasowym.

Twórcy programu utrzymują, że nawet jeżeli serwer nie obsługuje renegocjacji SSL, wciąż może zostać zaatakowany przy użyciu zmodyfikowanej wersji ich programu. W tym przypadku duża liczba połączeń TCP jest ustanawiana dla każdego nowego SSL handshaking; jednak skuteczny atak może wymagać większej liczby botów.

Autorzy utrzymują, że opublikowali to narzędzie, aby zwrócić uwagę na „wątpliwe bezpieczeństwo SSL". Oto, co piszą na swoim blogu: „Branża powinna podjąć działania w celu rozwiązania tego problemu, tak aby obywatele znów czuli się bezpieczni. Metoda ochrony prywatnych danych wykorzystywana przez SSL jest złożona, niepotrzebna i nieadekwatna dla 21 wieku”.

Apache Killer

W sierpniu wykryto krytyczną lukę w popularnym serwerze WWW Apache HTTPD, która pozwalała cyberprzestępcom wyczerpać zasoby serwera poprzez niewłaściwe przetwarzanie nagłówka HTTP „Range: Bytes”. Pole to pozwala klientowi na stopniowe pobieranie plików poprzez stosowanie określonych zakresów bajtów. Podczas przetwarzania dużej liczby zakresów Apache zużywa dużo pamięci, stosując do każdego zakresu kompresję zip. Może to prowadzić do awarii serwisu, chyba że konfiguracja serwera sieciowego ogranicza przydzieloną do tego procesu pamięć. Podatne na ataki wersje Apache to wersje 2.0.x, łącznie z 2.0.64 oraz 2.2.x, w tym 2.2.19.

Apache poinformował również, że atak DoS był aktywnie wykorzystywany przy użyciu szeroko rozpowszechnionego w Internecie skryptu PERL. Specjaliści ds. bezpieczeństwa zalecili, aby do momentu wypuszczenia łaty bezpieczeństwa administratorzy systemu wprowadzili określone ustawienia w konfiguracjach serwera, które pomogłyby wykryć żądania wielu zakresów, a w efekcie zignorowanie pola „Zakres” lub odrzucenie całego żądania.

Obecnie luka ta została załatana w wersjach 2.2.20 i 2.2.21; jednak wersja 2.0.65 z uaktualnieniami bezpieczeństwa nie została jeszcze opublikowana.

Podatne na ataki tablice mieszające

W 2003 roku naukowcy z Rice University opublikowali artykuł zatytułowany Denial of Service via Algorithmic Complexity Attacks, w którym opisali koncepcję ataku DoS na aplikacje wykorzystujące tablice mieszające. Chodziło o to, że jeżeli aplikacja nie wykorzystuje zrandomizowanej funkcji mieszającej w implementacji swojej tablicy mieszającej, osoba atakująca może wybrać dużą liczbę kolidujących kluczy i „przekazać” je aplikacji. W efekcie, złożoność algorytmu wykorzystywanego do wprowadzania pary „klucz-wartość” zwiększa się dziesięciokrotnie, prowadząc do zwiększonego zużycia czasu CPU. Mimo że problem ten został zgłoszony dawno temu, nikt nie opracował kodu „proof-of-concept” pokazującego praktyczne możliwości przeprowadzenia ataku. Aż do końca 2011 roku.

Podczas konferencji Chaos Congress Conference dwóch naukowców z Niemiec przedstawiło referat, w którym podjęli na nowo stary problem tablic mieszających oraz ataków DoS. W referacie opisano atak, który wykorzystuje luki w wielu językach programowania, łącznie z PHP, ASP.NET, Java, Python oraz Ruby. Wszystkie z tych platform wykorzystują podobne algorytmy mieszające, w których można znaleźć kolizje. Aby „odłączyć” serwer, osoba atakująca może wysłać żądanie POST do aplikacji sieciowej stworzone przy użyciu jednej z wymienionych wyżej technologii. Żądanie powinno zawierać specjalnie wybrane parametry dla formularza sieciowego itd., które spowodują wiele kolizji. Aplikacje sieciowe stosują z reguły tablice mieszające do przechowywania przekazywanych im parametrów. Omawiany referat opierał się na teście ataku „proof-of-concept” na podatne platformy i podawał teoretyczne i rzeczywiste czasy wymagane do przetworzenia szkodliwych żądań POST dla różnych platform. Ogólnie rzec biorąc, w zależności od platformy, konfiguracji serwera i ilości danych w żądaniu POST, jedno żądanie może angażować CPU przez czas od kilku minut do kilku godzin. W przypadku serii takich żądań osoby atakujące mogą „odłączyć” serwer wielordzeniowy lub nawet klaster serwerów.

Niemieccy naukowcy zauważyli również, że takie żądania POST do atakowanego serwera teoretycznie mogą być generowane w locie przez kod HTML lub JavaScript na stronie internetowej osoby trzeciej – tak jak w atakach XSS (cross-site scripting). W efekcie, w ataku DDoS może pośrednio uczestniczyć duża liczba użytkowników.

Warto wspomnieć, że jeden ze slajdów prezentacji zawierał wizerunek maski, którym posługuje się grupa Anonymous, co wyraźnie sugerowało, że grupa ta maczała palce w wielu atakach DDoS i nie jest wrogiem nowych technologii

Twórcy wszystkich „podatnych na ataki” języków programistycznych zostali poinformowani o problemie w listopadzie, jeszcze przed oficjalną prezentacją na konferencji.

Microsoft szybko zareagował na problem, publikując łatę dla ASP.NET, która ogranicza liczbę parametrów, które mogą zostać wysłane w jednym żądaniu POST. Publikację łaty przyspieszyły obawy Microsoftu (uzasadnione), że ktoś mógłby stworzyć exploita dla tej publicznie dostępnej luki. Łata została wypuszczona we właściwym momencie: na początku 2012 roku użytkownik występujący pod pseudonimem HybrisDisaster opublikował zestaw kolidujących kluczy dla ASP.NET.

Twórcy Ruby opublikowali nowe wersje CRuby oraz JRuby z losowymi funkcjami mieszającymi. W przypadku PHP, jedyną zmianą do tej pory było wprowadzenie nowej zmiennej, max_input_vars, która ogranicza liczbę parametrów w żądaniach POST.

Warto wspomnieć, że Perl 5.8.1 i CRuby 1.9 były odporne na ten atak odpowiednio od 2003 i 2008 roku, ponieważ wykorzystują już losowe funkcje mieszające.

Tajemniczy RefRef

Pod koniec lipca Anonymous zaprezentował RefRef. Było to nowe narzędzie, które według tej grupy mogło być wykorzystywane do przeprowadzania ataków DDoS i zastępowało wykorzystywany wcześniej w tym celu LOIC.

Powszechnie wiadomo, że Anonymous wykorzystywał LOIC w wielu swoich atakach na strony rządowe, strony organizacji będących przeciwnikiem WikiLeaks oraz na zasoby sieciowe innych organizacji. Jak już wcześniej wspomniano, aresztowano ponad 30 uczestników ataków, w których wykorzystywano LOIC: wielu atakujących nie ukryło swoich adresów IP, przez co można było ich łatwo zidentyfikować.

Nowe strony i blogi szybko „rozniosły” informacje o tym nowym narzędziu DDoS. Wspomniał o nim nawet amerykański Departament Bezpieczeństwa Narodowego w swoim biuletynie bezpieczeństwa dotyczącym potencjalnych zagrożeń i przyszłych ataków grupy Anonymous.

Mimo informacji o szerokim rozpowszechnieniu nowego narzędzia DDoS nikt nie znał dokładnych szczegółów jego implementacji. Z opublikowanych niejasnych oświadczeń jego „twórców” wynikało, że program został napisany w Javie lub być może JavaScript, wykorzystywał lukę „SQL injection” w większości stron internetowych lub potrafił ładować na serwery swoje własne pliki js. Atakowana strona miała paść na skutek wyczerpania zasobów serwera - CPU lub RAM albo obu.

Anonymous ogłosił również, że RefRef został przetestowany na PasteBin oraz WikiLeaks. Ten ostatni potwierdził atak i nawet poprosił na Twitterze o zaprzestanie atakowania zasobu:

Wiele osób zastanawiało się, dlaczego Anonymous miałby zaatakować WikiLeaks: w końcu popierał tę stronę od momentu jej powstania. Do ataku przyznał się przedstawiciel grupy @AnonCMD. Ogłosił, że jest twórcą RefRef i wyjaśnił, że powodem ataku był „spór o pieniądze” między nim a szefem WikiLeaks Julianem Assange.

Po „zapowiedzi” tego nowego narzędzia DDoS sprawy potoczyły się błyskawicznie. Powstała strona internetowa refref.org (obecnie jest już zamknięta). Strona ta była prawdopodobnie powiązana z twórcami narzędzia do przeprowadzania ataków DDoS, od których otrzymała nazwę. Pod nazwą RefRef pojawiło się kilka fałszywych skryptów. Najbardziej rozpowszechnionym z nich był skrypt Perl, który może być wykorzystywany do przeprowadzania ataków tylko na te strony, które zawierają lukę SQL injection. Warto wspomnieć, że aby atak był skuteczny, osoba atakująca musi najpierw znaleźć podatną na ataki stronę – skrypt wykonuje tylko wybrane polecenie wzorcowe na serwerze. To oznacza, że skrypt ten nie może być wykorzystywany do atakowania większości stron. Jednak IBM Internet Security Systems, który szybko zareagował na ten skrypt jako nowe zagrożenie dla bezpieczeństwa wielu stron, opublikował na swojej stronie specjalne ostrzeżenie oraz sygnaturę IPS dla swoich produktów.

Członkowie grupy Anonymous wielokrotnie zaprzeczali, jakoby mieli jakiekolwiek związki z fałszywymi skryptami, i obiecywali, że 17 września opublikują prawdziwy RefRef. Jednak nie spełnili obietnicy. W efekcie, zarówno cała grupa, jak i w szczególności @AnonCMD, zostali powszechnie oskarżeni o kłamstwo. @AnonCMD zareklamował swoje narzędzie swoim „kolegom” z grupy Anonymous, wychwalając jego „triumfalny postęp”. Później przyznał, że RefRef nigdy nie istniał.

Proste wytłumaczenie tej historii jest następujące: niektórzy przedstawiciele Anonymous próbują zwrócić jak największą uwagę na grupę jako całość oraz na siebie w szczególności, a media im w tym pomagają, rozpowszechniając plotki i niepotwierdzone informacje.

Statystyki

Rozkład źródeł ataków DDoS według państw

W analizowanym okresie sześciu miesięcy nasze systemy wykryły ataki na komputery w 201 państwach na całym świecie. Jednak 90% całego uchu DDoS pochodziło z 23 państw.


Rozkład źródeł ruchu DDoS według państw – druga połowa 2011 r.

Rozkład geograficzny źródeł ataków DDoS uległ zmianie. Pod koniec pierwszej połowy 2011 r. czołowe pozycje w rankingu zajmowały Stany Zjednoczone (11%), Indonezja (5%) oraz Polska (5%). W drugiej połowie roku wyłoniło się kilku nowych liderów: Rosja (16%), Ukraina (12%), Tajlandia (7%) oraz Malezja (6%). Udział komputerów zombie z pozostałych 19 krajach waha się od 2% do 4%.

W Rosji i na Ukrainie wykryliśmy nowe bonety stworzone przy użyciu programów sprzedawanych na forach „podziemia”. Co ciekawe, przy pomocy tych botnetów atakowane były cele zlokalizowane w tych samych krajach co botnety. Wcześniej obserwowaliśmy głównie ataki, w których boty i atakowane przez nie serwery znajdowały się w różnych krajach.

Wyraźna zmiana w rozkładzie ruchu, jak również dołączenie Rosji i Ukrainy do grona liderów, częściowo spowodowane były aktywnym stosowaniem niektórych zabezpieczeń przed atakami DDoS. Jedną z metod blokowania ataków DDoS jest filtrowanie ruchu na podstawie państw źródłowych. Idea jest bardzo prosta: w momencie wykrycia ataku DDoS zostaje uruchomiony system, który odrzuca wszystkie pakiety danych z wyjątkiem tych, które pochodzą z określonego państwa. Na dostęp do zasobu zezwala się z reguły jedynie użytkownikom z państwa, w którym zlokalizowana jest większość użytkowników strony. To dlatego, aby zapobiec filtrowaniu ich ruchu, cyberprzestępcy muszą tworzyć botnety w określonych państwach i wykorzystywać je do atakowania zasobów w tych samych lokalizacjach geograficznych.

Jednocześnie aktywne są również botnety, które działają w oparciu o „klasyczne” podejście polegające na tym, że ataki są przeprowadzane przy użyciu zasobów poza krajem, w którym zlokalizowany jest serwer „pod ostrzałem”. Tajlandia i Malezja stanowią dobre przykłady państw, w których znajduje się ogromna liczba niechronionych komputerów, przy czym wydaje się, że osoby kontrolujące boty otrzymują stosunkowo niewiele poleceń atakowania stron internetowych w tych państwach. To oznacza, że region ten doskonale nadaje się do ustanawiania botnetów przez cyberprzestępców.

W porównaniu z pierwszą połową roku zmieniły się również państwa odpowiedzialne za 2-4% wszystkich ataków DDoS. Grupa ta liczy tylko trzy państwa o wysokim poziomie komputeryzacji i bezpieczeństwa IT: Irlandię (2%), Stany Zjednoczone (3%) oraz Polskę (4%). Pozostałymi generatorami „bezwartościowego” ruchu były zainfekowane komputery w krajach rozwijających się, gdzie liczba komputerów na głowę jest znacznie mniejsza, a bezpieczeństwo IT nie stanowi mocną stronę: Meksyk (4%), Indie (4%), Pakistan (4%), Białoruś (3%), Brazylia (3%) itd.

Rozkład atakowanych stron według typu i aktywności online

Czołową pozycję utrzymał segment handlu online (sklepy internetowe, aukcje, portale do zamieszczania ogłoszeń sprzedaży itd.): strony te stanowiły cel 25% wszystkich zarejestrowanych ataków.


Rozkład atakowanych stron według obszarów działalności – II połowa 2011 r.

Przed Nowym Rokiem zaczęła wzrastać liczba ataków DDoS na strony internetowe oferujące różne towary. Wśród najczęstszych celów ataków znalazły się sklepy sprzedające drobny sprzęt gospodarstwa domowego, urządzenia do domu, elektronikę, odzież znanych projektantów dla dzieci i dorosłych, jak również akcesoria i kosztowną biżuterię.

Na drugim miejscu znalazły się elektroniczne serwisy obrotu. Zarabianie pieniędzy przy użyciu nieuczciwych sztuczek nie jest niczym nowym w świecie finansowym, a jedną z nich są ataki DDoS. Warto zauważyć, że w drugiej połowie roku hakerów interesowały strony internetowe, za pośrednictwem których instytucje rządowe i miejskie składają swoje zamówienia.

Strony poświęcone grom stanowiły 15% wszystkich ataków DDoS, o 5 punktów procentowych mniej niż w drugim kwartale 2011 roku. Głównym celem ataków były strony oferujące usługi hostingu serwerów gier. Pod względem liczby ataków tuż za nimi uplasowały się serwery (w większości posiadane przez piratów oprogramowania) oferujące różne gry online. Najwięcej ataków odnotowały serwery Lineage2 MMORPG oraz serwery hostujące różne klony Minecraft – bardzo popularnej gry w ostatnich miesiącach.

Media padły ofiarą 2% wszystkich ataków DDoS. Zaatakowane zostały strony internetowe kanałów telewizyjnych oraz wydawców gazet i magazynów w kilku byłych republikach radzieckich.

Odsetek ataków na strony rządowe stopniowo wzrasta. W drugiej połowie 2011 r. wynosił 2%. Ataki przeprowadzane były głównie na oficjalne strony władz lokalnych lub dużych miast. Motywy przeprowadzania ataków na strony rządowe są różne, jednak w większości przypadków ataki są formą protestu przeciwko działaniu lub braku działania władz.

Rodzaje ataków DDoS

W drugiej połowie 2011 r. system firmy Kaspersky Lab służący do monitorowania botnetów przechwycił ponad 32 000 poleceń przesłanych za pośrednictwem Internetu dotyczących przeprowadzenia ataków na różne strony.


Rodzaje ataków DDoS – II połowa 2011 r.


Rodzaje ataków typu „HTTP Flood” – II połowa 2011 r.

HTTP Flood pozostaje najpopularniejszym rodzajem ataków (80%). Polega on na równoczesnym wysłaniu dużej liczby żądań HTTP do atakowanej strony. Cyberprzestępcy wykorzystują kilka różnych technologii w celu przeprowadzenia tego rodzaju ataków. W 55% wszystkich ataków HTTP Flood boty próbują uzyskać dostęp do jednej strony portalu. Drugim najbardziej rozpowszechnionym rodzajem (22%) są ataki na różne formy uwierzytelnienia. Trzecim najpopularniejszym rodzajem (12%) są ataki, które obejmują wiele prób pobrania pliku ze strony. Bardziej zaawansowane ataki, w których cyberprzestępcy próbują zamaskować boty poprzez imitowanie zachowania rzeczywistych użytkowników, są przeprowadzane tylko w 10% wszystkich przypadków.

Drugim najpopularniejszym rodzajem ataków DDoS (10%) jest atak UDP Flood. Boty przeprowadzające te ataki opierają się na metodzie „brute force”: generują ogromne liczby stosunkowo niewielkich „pakietów śmieci” (np. o rozmiarze 64 bajtów).

Trzecie i czwarte miejsca w rankingu popularności zajmują odpowiednio ataki SYN Flood (8%) oraz ICMP Flood (2%).

Aktywność botnetów DDoS w czasie

Przeanalizowaliśmy, o jakiej porze dnia boty DDoS najczęściej atakują różne strony. Wykres poniżej przedstawia czas lokalny ataków, tj. uwzględniono strefy czasowe, w których znajdowały się atakowane strony.


Rozkład ataków DDoS według godziny – II połowa 2011 r.

Jak sugeruje wykres, boty DDoS zaczynają działać około 9 lub 10 rano, gdy internauci przychodzą do pracy i zaczynają wykorzystywać Internet do celów związanych z pracą. Szczyt ich aktywności przypada na godz. 16. Jednak ich godziny pracy można określić jako wydłużone: większość botów idzie spać około 4 nad ranem.

Wnioski

Wzrost liczby ataków DDoS w ramach protestów przeciwko decyzjom rządowym, przewidywany w naszym raporcie dotyczącym II kwartału, rzeczywiście nastąpił. Grupa Anonymous nie ograniczyła swojej działalności, mimo że niektórzy jej członkowie zostali aresztowani. Ponadto ataki DDoS jako forma protestu są stosowane przez grupy, które w przeciwieństwie do Anonymous wolą pozostać w cieniu. Na przykład, przed grudniowymi wyborami powszechnymi w Rosji odnotowane zostały ataki na strony partii politycznych, projektów politycznych oraz różnych mediów, jednak osoby, które je zleciły, nie ujawniły się.

Liczba maszyn w botnetach DDoS stopniowo wzrasta, przez co ataki mają średnio większą moc (wzrost o 57% w ciągu sześciu miesięcy). Jednak większa moc ma pewien mankament: takie botnety zwracają uwagę organów ścigania, przez co stają się mniej atrakcyjne dla cyberprzestępców. Z tego powodu w 2012 roku nie zobaczymy naprawdę dużych botnetów. Nasze radary będą wykrywały przeważnie średnie botnety, które mają wystarczającą moc, aby doprowadzić do zdjęcia przeciętnej strony internetowej. Takie botnety będą występować liczniej. Ponadto, ze względu na ochronę przed atakami DDoS stosowaną przez coraz więcej stron hakerzy będą musieli zwiększyć siłę ataków poprzez wykorzystywanie kilku botnetów jednocześnie atakujących ten sam zasób.

Zważywszy na zapotrzebowanie na ataki DDoS, właściciele tego nielegalnego biznesu będą starali się udoskonalać swoje technologie. Architektura sieci zombie wykorzystywana do ataków DDoS stanie się bardziej złożona, a sieci P2P zastąpią scentralizowane botnety. Ponadto, jak wynika z aktualnych badań, w 2012 roku cyberprzestępcy będą szukali nowych sposobów przeprowadzania ataków DDoS bez wykorzystywania botnetów.

Źródło:
Kaspersky Lab